Saatavana elektronisessa muodossa - Tietojenkäsittelytieteiden ...

63Lisäksi johtoryhmän jäsenten tulisi olla mukana aloitusluennolla. Tietoisuuttavoidaan lisätä vielä esimerkiksi teettämällä tietoturvakysely.Tietoturvapolitiikka viedään syksyn aikana hyväksyttäväksikunnanhallitukseen ja se julkaistaan ja tiedotetaan sen jälkeen henkilöstöllesekä sidosryhmille.4.3.5. Vaihe 5. Toteutus ja seurantaToteutus- ja seurantavaihe on jatkuva työprosessi, jota valvootietoturvallisuudesta vastaava henkilö. Vastuuhenkilö on määritelty aiemmintietoturvapolitiikassa. Hänellä on valtuudet delegoida toteutukseen javalvontaan liittyviä tehtäviä eteenpäin. Onkin hyvä harkitatietoturvallisuudesta vastaavan ryhmän kokoamista, johon kuuluvat tärkeidentietojärjestelmien omistajat, tärkeimpien käyttäjien edustajat,tietoturvallisuuden ja tietosuojan asiantuntijat, atk-pääkäyttäjät ja kiinteistöistävastaava henkilö [Haarmanen, 1998].Seuranta on toimenpiteiden toteutumisen, niiden vaikutusten jatoteutuneiden riskien seurantaa [Haarmanen, 1998]. Seurantaa tulee tehdäpalveluyksiköissä ja siitä vastaavat palveluesimiehet. Heidän vastuullaan onmyös raportoida säännöllisesti tietoturvasta vastaavalle henkilölle tuloksista.Raportointiin on hyvä kehittää formaalit käytännöt, jotta se tulee toteutettuaasianmukaisesti. Henkilöstölle voidaan luoda esimerkiksi intranetiin lomake,jolla voi raportoida tietoturvarikkomuksista. Tietoturvallisuudesta vastaavalaatii raporteista ja saadusta palautteesta johdolle esitettävät koosteetesimerkiksi puolivuosittain.4.4. Muutamia poimintoja kohdeorganisaatiosta prosessin jälkeenProsessin jälkeen kohdeorganisaatiossa on käyty keskustelua asiantuntijanpalkkaamisesta toteuttamaan laadittua tietoturvallisuudenkehittämissuunnitelmaa, mm. tekemään dokumentointia ja ohjeistuksia.Edelleenkin organisaatiossa on resurssipula; kehittämistyö jää jälleenrutiinitöiden varjoon.Tietoturvapolitiikka on hyväksytty kunnanhallituksessa ja se tiedotetaankunnan www-sivuilla kaikille kuntalaisille sekä henkilöstölle.